使用两个不同 LDAP 服务器的 SSSD LDAP 身份验证

使用两个不同 LDAP 服务器的 SSSD LDAP 身份验证

我正在尝试在 CentOS 7 上使用 SSSD 设置 LDAP 身份验证。

是否可以以使用两台 LDAP 服务器的方式设置 SSSD:一台 LDAP 服务器仅用于登录(基本上只是使用密码进行身份验证),另一台 LDAP 服务器用于获取用户的所有其他属性( homeDirectory,仅在该 LDAP 服务器上定义的附加 LDAP 属性)?

用户在两台服务器上定义(相同的 uid,但不同的基数)。

答案1

这个(相同的)问题已在服务器故障:

不,我认为除了丑陋的黑客之外这是不可能的。 sssd 支持的唯一特殊情况是用于更改密码操作的不同 LDAP 服务器(使用ldap_chpass_uri)。

但您可以做的是使用id_provider=proxy、将其配置为使用nslcd(又名nss-pam-ldapd)并配置nslcd为使用身份 LDAP 服务器。然后配置auth_provider=ldap并将其指向身份验证 LDAP 服务器。

这不太漂亮,而且您将运行两个 LDAP 守护程序,但我想不出另一种方法来解决该问题。

相关内容